Windowsラップトップ、リモートワーク、そして今日の脅威の状況

Windowsラップトップ、リモートワーク、そして今日の脅威の状況

今日、エンドポイントのラップトップはセキュリティにとって重要ですが、管理がこれまで以上に困難です。 ユーザーは、Windows コンピューターから企業の業務のほとんどを実行しています。 最軽量で最も薄いラップトップから最大のサーバーへのWindowsのすべてのインストールは、まだ発見されていない脆弱性と広大な攻撃面を備えた世界最大のオペレーティングシステムのコピーを実行しています。

要因

複雑さに加えて、ユーザー エンドポイントは、通常のサーバーよりもはるかに多くのリスクにさらされるという事実です。 これは、ユーザーが、信頼されていないコンテンツを、Web ページ、ドキュメント、メディアなどのファイルの形式でインターネットからダウンロード、オープン、解析、レンダリング、および処理する場合が常にあります。

さらに、ほとんどのユーザーは、インターネット上で被害を受ける可能性のあるすべての方法に精通しているサイバーセキュリティの専門家ではなく、多かれ少なかれ非技術的なユーザーが仕事を終えようとしています。

これらの要因は完璧な嵐を作り出し、悪者が侵入しやすい環境を作り出し、1人のユーザーのPCで実行(MITRE ATT&CK T???)を達成することによって組織の足場を確立します。 その重要な足場は、彼らが他のシステムやアカウントへの横移動に取り組うことを可能にします。

現在の風景

これは新しい問題ではなく、一般的な企業キャンパスで数百台または数千ものワークステーションを保護することは常に困難でした。 IT プロフェッショナルが専門にするニッチを作り出した グループ ポリシー、MS システム管理、および組織を保護するための代替サードパーティ製品を含みます。

現実には、遠隔地の従業員と労働状況がここに滞在しています。残念ながら、ほとんどの組織(成熟した管理を行っている組織であっても)は、パンデミックとそれに続くリモートワークソリューションの導入ラッシュによって、エンドポイントセキュリティの面で後退していると確信しています。

誰かが自分の組織のリモートアクセス作業ポータル/ゲートウェイにどれだけ自信を持っているかに関係なく、事実はおそらくそこに一元的に管理され、安全にされていないラップトップのトンが残っています。 高度に安全なリモート アクセス サービスは、攻撃者が信頼された認証されたユーザーになる、侵害されたエンドポイントに対する保護をほとんど提供しなくなります。

組織に対するアクションの実行

アクティブ ディレクトリ ドメイン メンバーシップ グループ ポリシー管理 伝統的な方法でした。ただし、エンドポイントがドメインに既に参加していて、Windows DirectAccess または堅牢な VPN が実装され、常に接続されていない限り、インターネット経由の有効性は低下します。

論理的には、これらのエンドポイントを管理する他の方法を検討する必要があり、考慮すべき多くのオプションとテクノロジがあります。 サードパーティのモバイル デバイス管理プロバイダは、携帯電話やタブレットだけでなく、Windows エンドポイントを管理する機能を拡張することで、ギャップを埋めようとしています。

マイクロソフトは、さまざまなレベルの統合と従来のオンプレミス テクノロジと重複する、紛らわしいさまざまなオプションを提供してきました。限り アクティブ ディレクトリ Windows エンドポイントをアクティブ ディレクトリに接続する方法は、オンプレミスでも Azure AD でも 4 つあります。

通常のオンプレミス AD が参加しました

これは、グループポリシーをサポートする数十年間、私たちが知っている方法です(そして私たちの何人かは愛していました)。 リモート エンドポイントは、堅牢な常時 VPN または DirectAccess を使用していない限り、ほとんど無視されます。

参加した Azure AD

これは企業所有の PC 用です。 オンプレミスの AD で発生する可能性のある Azure AD アカウントでログインする Azure AD 接続. 使用できるグループ ポリシーがありません。

ハイブリッド Azure AD が参加しました

これは、企業所有のPCにも関係しています。 アカウントは Azure AD とオンプレミス AD の両方に存在する必要があるため、Azure AD Connect はここでの要件です。 これにより、クラウドおよびオンプレミス ネットワークに SSO が提供されます。 ドメイン コントローラには、ローカル ネットワーク接続または何らかの VPN を意味する “見通し" が必要です。

最近、Microsoft では、適切な VPN が利用可能で、Azure AD、オンプレミス ネットワーク、および Microsoft Intune で正しくセットアップされている場合、リモート ユーザーが工場から新たにラップトップにハイブリッド参加できるようにする機能が追加されました。 これらすべての要因が適切に調整されている場合は、グループ ポリシーがオプションです。

Azure AD 接続をすばやくインストールして構成する方法

Azure AD 登録

これは個人所有の PC に関係し、個々の作業用に利用できるようにする必要があります。セス。 これにより、ユーザーは Azure AD アカウントを使用して企業リソースにアクセスしやすくなるようになっており、Microsoft デバイス管理による管理も可能になります。

リモート エンドポイント管理

現在、マイクロソフトは、マイクロソフト エンドポイント マネージャーの傘下で、Microsoft Intune とのクラシック構成マネージャーを統一しようとしています。 構成マネージャーは、Windows システムを管理するための従来のオンプレミス管理ソリューションです。 Intune は、Android、Android エンタープライズ、iOS/iPadOS、macOS、および Windows 10 デバイス上のアプリケーション、機能、設定を制御するためのマイクロソフトのクラウドベースのモバイル デバイス管理 (MDM) です。 あなたは、彼らが何年も前から存在してきたので、両方の技術の存在に精通している可能性が高いが、より最近の開発は「共同管理」です。

共同管理を使用すると、構成マネージャーと Microsoft Intune の両方で Windows 10 デバイスを管理することができ、特に Intune がサポートしていない構成マネージャーの機能を利用する構成マネージャーに投資する組織に適しています。

このような大きな問題の 1 つはオペレーティング システムの展開ですが、Configuration Manager は、高度な構成シナリオ、ソフトウェア メータリング、およびサーバー管理にも重要です。

要するに

それは明らかに多くのオプションがあります エンドポイント セキュリティただし、一日の終わりには、すべてのエンドポイントが組織のネットワーク上にあるかどうか、およびそれが 「所有」されているかどうかに関係なく、セキュリティで保護されている必要があります。

私は、私のセッション中に、このトピックをより深く議論します。 TEC: ラップトップが尋ねる質問を理解し、組織にとって最適な方法を決定するテクノロジを理解する手助けとなります。

Windowsラップトップ、リモートワーク、そして今日の脅威の状況




未分類

Posted by admin